Kontrol Layanan VPC dapat meningkatkan kemampuan Anda untuk memitigasi risiko pemindahan data yang tidak sah dari layanan Google Cloud. Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter layanan yang membantu melindungi resource dan data layanan yang Anda tentukan secara eksplisit.
Untuk menambahkan layanan Looker (Google Cloud core) ke perimeter layanan Kontrol Layanan VPC, ikuti petunjuk cara membuat perimeter layanan di halaman dokumentasi Membuat perimeter layanan, lalu pilih Looker (Google Cloud core) API dalam dialog Tentukan layanan yang akan dibatasi. Untuk mempelajari lebih lanjut cara menggunakan Kontrol Layanan VPC, buka halaman dokumentasi Ringkasan Kontrol Layanan VPC.
Kontrol Layanan VPC mendukung instance Looker (Google Cloud core) yang memenuhi dua kriteria:
- Edisi instance harus Enterprise atau Embed
- Konfigurasi jaringan instance hanya boleh menggunakan IP pribadi
Peran yang diperlukan
Untuk memahami peran IAM yang diperlukan guna menyiapkan Kontrol Layanan VPC, buka halaman Kontrol akses dengan IAM dalam dokumentasi Kontrol Layanan VPC.
Menghapus rute default
Saat instance Looker (Google Cloud core) dibuat di dalam project Google Cloud yang berada dalam perimeter Kontrol Layanan VPC, atau berada di dalam project yang ditambahkan ke perimeter Kontrol Layanan VPC, Anda harus menghapus rute default ke internet.
Untuk menghapus rute default ke internet, pilih salah satu opsi berikut:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
Ganti NETWORK dengan jaringan VPC instance Looker (Google Cloud core) Anda.
Untuk mengetahui informasi selengkapnya, buka halaman dokumentasi gcloud services vpc-peerings enable-vpc-service-controls.
REST
Metode HTTP dan URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Meminta isi JSON:
{
"consumerNetwork": NETWORK
}
Ganti NETWORK dengan jaringan VPC instance Looker (Google Cloud core) Anda.
Untuk informasi selengkapnya, buka halaman dokumentasi Metode: services.enableVpcServiceControls.
Terhubung ke resource atau layanan di luar perimeter Kontrol Layanan VPC
Agar terhubung ke resource atau layanan Google Cloud lainnya, Anda mungkin perlu menyiapkan aturan masuk dan keluar jika project tempat resource berada berada di luar perimeter Kontrol Layanan VPC.
Untuk mendapatkan informasi tentang cara mengakses resource eksternal lainnya, ikuti petunjuk jenis resource yang ingin Anda hubungkan di halaman dokumentasi Jaringan IP Pribadi dengan Looker (Google Cloud core).
Menambahkan kunci CMEK ke perimeter
Terkadang, instance Looker (Google Cloud core) yang diaktifkan dengan kunci enkripsi yang dikelola pelanggan (CMEK) memiliki kunci Cloud KMS yang dihosting di project Google Cloud lain. Untuk skenario ini, saat mengaktifkan Kontrol Layanan VPC, Anda harus menambahkan project hosting kunci KMS ke perimeter keamanan.
Apa langkah selanjutnya?
- Menghubungkan Looker (Google Cloud core) ke database Anda
- Menyiapkan instance Looker (Google Cloud core)